逆向工程疑问

Question

8048563:       e8 0d 00 00 00          call   8048575 <exit@plt+0x141>

我试图对二进制文件进行逆向工程以获取乐趣，我在 objdump 输出中看到了这个调用。看着这一行，我认为调用将是动态链接的退出函数。但是，8048575 似乎是该程序的 .text 部分中的地址！

1. 为什么会出现这种错误的函数命名？
2. 呼叫落地的地方有以下行；为什么函数序言缺失？

8048575:       83 ec 6c                sub    esp,0x6c

Answer 1

当程序调用共享库中的函数时，它会调用过程链接表 (PLT) 中的地址。最初，PLT 包含对动态链接器的调用，动态链接器将动态查找函数地址，然后用找到的地址替换 PLT 中的地址。

Answer 2

这是对 IAT（导入地址表）条目的调用，以便它可以对名为“exit”的函数执行模块间调用（实际上是跳转），这可以避免远调用并使动态链接更简单。至于序言“缺失”，根本不需要设置堆栈帧，事实上，对于大多数函数来说，它完全不需要，因此堆栈分配是序言，是唯一真正需要的函数堆栈帧是不受信任的“裸”汇编函数或对堆栈进行不可预测的更改的函数。

Answer 3

分配堆栈空间是函数序言，不是吗？你怎么知道这不是 exit 函数的开始？ .text 完全没问题，因为那是代码所在的地方。 （plt 只是指“程序列表”。）

Answer 4

这实际上不是 IAT/PLT 调用，而是对同一文件中另一个函数的调用。该文件可能已删除其内部符号，并且 objdump 将所有地址显示为地址 + 偏移量之前的最后一个定义的符号。如果没有内部符号，这将命中最后一个 plt 链接函数，因为 plt 部分位于文本之前。

因此，显示的名称只是伪造的，可以忽略。